Google ha anunciado planes para simplificar el proceso de habilitación de autenticación de dos factores (2FA) tanto para cuentas personales como de Workspace. Este método, también conocido como Verificación en dos pasos (2SV), agrega una capa adicional de seguridad a las cuentas de usuario para protegerlas de posibles ataques. El cambio implica la adición de un segundo método, como una aplicación autenticadora o una llave de seguridad de hardware, antes de activar 2FA, eliminando la necesidad de utilizar la autenticación basada en SMS, que se considera menos segura.
Una actualización importante es que los usuarios ya no perderán sus segundas etapas inscritas automáticamente si optan por desactivar 2FA en sus cuentas. Además, Google sugiere que las cuentas de Workspace aún pueden requerir que los usuarios ingresen sus contraseñas junto con su clave de paso, dependiendo de la política de administrador.
Google informó que más de 400 millones de cuentas de Google han comenzado a usar claves de paso durante el último año para autenticación sin contraseña, en línea con métodos y estándares modernos como FIDO2, diseñados para resistir ataques de phishing y secuestro de sesiones.
Aunque, recientemente, una investigación de Silverfort ha encontrado que un actor de amenazas podría evadir FIDO2 mediante un ataque de adversario intermedio (AitM). Este ataque permite el secuestro de sesiones de usuario en aplicaciones que utilizan soluciones de inicio de sesión único (SSO) como Microsoft Entrar ID, PingFederate y Yubico. El ataque es posible porque la mayoría de las aplicaciones no protegen los tokens de sesión creados después de una autenticación exitosa, lo que permite que un actor malintencionado obtenga acceso no autorizado.
Para garantizar la seguridad, se recomienda adoptar una técnica conocida como token binding, que permite a aplicaciones y servicios vincular criptográficamente sus tokens de seguridad a la capa del protocolo de seguridad de transporte (TLS). Por otro lado, Google ha anunciado una nueva función en Chrome llamada Credenciales de sesión vinculadas a dispositivos (DBSC) para ayudar a proteger a los usuarios contra el robo y secuestro de cookies de sesión.
Vía The Hacker News